АКТУАЛЬНЫЙ ИНЦИДЕНТ? ЗВОНИТЕ +971 58 594 6337 · ДОСТУПЕН SIGNAL · КРУГЛОСУТОЧНЫЙ МОСТ РЕАГИРОВАНИЯ Среднее время локализации: 47 мин LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ОБНОВЛЕНА БИБЛИОТЕКА ДЕШИФРАТОРОВ НЕ ВЫКЛЮЧАЙТЕ ЗАРАЖЕННЫЕ УСТРОЙСТВА — СОХРАНЯЙТЕ ПАМЯТЬ АКТИВНЫЙ ИНЦИДЕНТ? ЗВОНИТЕ +971 58 594 6337 · ДОСТУПЕН SIGNAL · КРУГЛОСУТОЧНЫЙ МОСТ РЕАГИРОВАНИЯ Среднее время локализации: 47 мин LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ОБНОВЛЕНА БИБЛИОТЕКА ДЕШИФРАТОРОВ НЕ ВЫКЛЮЧАЙТЕ ЗАРАЖЕННЫЕ УСТРОЙСТВА — СОХРАНЯЙТЕ ПАМЯТЬ
Английский Español Мадьярский العربية Русский Украинский Deutsch Словенский Тайский Китайский 日本語 한국어 Русский Французский Хинди Бенгальский Индонезийский Português Italiano Тагальский Вьетнамский Фарси Суахили Мьянма Амхарский Türkçe Урду Баса-джава Польский Čeština
system.log
последние 5 минут · 20 событий
Снимки
последние 7 дней · 7 снимков
Резервные копии не найдены
Последний известный репозиторий: недоступен

сколько на самом деле
инцидент на самом деле обходится.

На основе наших внутренних данных о реагировании на инциденты и проверенных публичных отчетов за 2024–2025 годы — в различных отраслях и регионах.

01
5,08 млн
Средняя общая стоимость инцидента с вымогательством выкупа или шантажом
02
241
Среднее количество дней, необходимое для выявления и локализации инцидента при отсутствии специализированной службы реагирования на инциденты
03
24
Среднее количество дней простоя оборудования при каждой атаке с использованием программ-вымогателей
04
4
Среднее количество дней от первоначального проникновения до запуска шифрующего модуля
05
50
Атак с использованием программ-вымогателей по-прежнему заканчиваются шифрованием данных
06
28
У жертв шифрования также были похищены данные с целью вымогательства
Самодиагностика // 4 вопроса • 30 секунд

прежде чем паниковать,
оцените масштаб проблемы.

Ответьте на четыре вопроса. Мы рассчитаем оценку серьезности ситуации в режиме реального времени и определим первые четыре действия, которые ваша команда должна предпринять прямо сейчас — прежде чем кто-нибудь в гневе начнет нажимать на клавиши.

ВОПРОС 01 / 04
Что вы обнаружили в первую очередь?
Самое раннее обнаруженное явление определяет, сколько у вас времени.
ВОПРОС 02 / 04
Насколько широко распространилась атака?
Подсчитайте количество хостов с подтвержденным шифрованием или взломом.
ВОПРОС 03 / 04
Состояние резервного копирования?
«Неизменяемый» означает действительно неизменяемый — с блокировкой объектов, воздушным зазором или в автономном режиме.
ВОПРОС 04 / 04
Признаки кражи данных?
Утечка превращает задачу восстановления в задачу раскрытия информации.
РЕЗУЛЬТАТ
Сортировка завершена.
Это приблизительная оценка. Аналитик PWN-ALL может уточнить ее за 15 минут на мосту реагирования.
ОТКРЫТЬ МОСТ РЕАГИРОВАНИЯ
▸ РЕЗУЛЬТАТЫ ОПРОСА
ожидается ввод
Ответьте на вопросы слева. Уровень серьезности обновляется в режиме реального времени.
00255075100

▸ Первые четыре действия

  1. Изолируйте затронутые хосты от сети — не выключайте их.
  2. Сохраните теневые копии памяти и томов как минимум на одном хосте.
  3. Аннулируйте учетные данные, использовавшиеся в течение последних 72 часов; произведите ротацию служебных учетных записей.
  4. Установите канал связи с PWN•ALL, прежде чем прикасаться к резервным копиям.
Конвейер обработки запросов

четыре этапа.
один мост.

Мы обрабатываем каждый инцидент на едином, прошедшем аудит мосте реагирования — ваша команда, наши аналитики DFIR, общая временная шкала и подтверждения на каждом этапе.

ЭТАП 01 // 0–60 мин

Сдерживание

Изоляция на уровне сети без уничтожения доказательств. Мы останавливаем латеральное перемещение на коммутаторе, блокируем C2, замораживаем привилегированные учетные записи и сохраняем память на хостах-посредниках.

Среднее время пребывания до шифрования: 4 дня. Окно для локализации измеряется часами, а не сменами.
ЭТАП 02 // 1–6 ч

Объем

Криминалистическая сортировка всех зашифрованных ресурсов, векторов первоначального доступа, следов персистентности и эксфильтрации. Мы определяем штамм, TTP оператора и время пребывания.

Без специализированной команды по реагированию на инциденты средний жизненный цикл инцидента составляет 241 день от момента проникновения до локализации.
ЭТАП 03 // 6–48 ч

Восстановление

Восстановление в «чистой» среде, проверка целостности резервных копий, сопоставление дешифратора с нашей внутренней библиотекой и — при наличии ключей — поэтапное дешифрование производственных данных.

Среднее время простоя из-за вымогательского ПО составляет 24 дня. Подготовленные организации сокращают этот промежуток до менее чем одной недели.
ЭТАП 04 // 2–14 дней

Укрепление

Устранение первопричин, очистка идентификационных данных, внедрение EDR/MFA там, где их нет, и подготовка письменного отчета, который смогут прочитать ваш совет директоров, страховщик и регулирующий орган.

32% инцидентов с вымогательским ПО начинаются с уязвимости, которая была использована злоумышленниками. Этап 4 закрывает дверь, через которую они проникли.
С чем мы работаем

У каждого штамма есть
слабое место. Мы его находим.

Наша библиотека исследований дешифраторов и информация о переговорах обновляются на основе реальных дел, которые мы закрываем каждую неделю. Если есть способ восстановить данные без оплаты, мы найдем его первыми.

СЕМЕЙСТВО // ОРИЕНТИРОВАННЫЕ НА WINDOWS

LockBit • BlackCat • Play

  • Контроллер домена и настройка Veeam
  • Стирание теневой копии через vssadmin/WMI
  • Поэтапная экфильтрация через MEGA/Rclone
  • Восстановление частичного ключа, где это применимо
СЕМЕЙСТВО // ГИПЕРВИЗОР

Akira • Royal • Rhysida

  • Остановка и шифрование ESXi на уровне VMFS
  • Программа-вымогатель для ELF в Linux на устройствах
  • Восстановление томов на уровне хранилища данных
  • Аудит целостности на стороне гипервизора
СЕМЕЙСТВО // ТОЛЬКО ВЫМОГАТЕЛЬСТВО

Cl0p • Karakurt • RansomHub

  • Чистая кража данных, без шифрования
  • Мониторинг и закрытие сайтов, на которых произошла утечка
  • Координация раскрытия информации в соответствии с законодательством
  • Управление коммуникациями операторов осуществляется нами
Мост реагирования

аналитик уже
следит за временем.

Как только вы позвоните, запускается общий мост с действиями с отметками времени, хранением доказательств и панелью серьезности инцидента в режиме реального времени. Ваша страховая компания и юридическая команда могут присоединиться в режиме «только для чтения».

00
часов
47
минут
12
секунд
в прямом эфире
00:02analyst-04присоединился к мосту
00:05 хостdc01 изолирован на коммутаторе
00:11попытка латерального проникновения заблокирована — 10.4.2.88 → 10.4.2.12
00:18Снимок памяти сохранен — 4 хоста
00:26совпадение штамма: lockbit 3.x (87%)
00:34репозиторий резервных копий не поврежден — veeam01 не затронут
00:41черновик плана восстановления — ожидается утверждение

Никаких тайн. Никакого молчания.

Каждый инцидент PWN-ALL проходит по тому же шаблону моста, который уже принят вашими регулирующими органами и киберстраховщиком. Вы видите то же, что и мы. Вы утверждаете каждое разрушительное действие. Ничто не шифруется, не удаляется и не оплачивается без вашего одобрения.

После локализации вы уходите с отчетом о цепочке хранения, временной шкалой, сопоставленной с MITRE ATT&CK, и планом укрепления безопасности на 30/60/90 дней — а не с PDF-файлом, заполненным скриншотами.

Часто задаваемые

вопросы
, которые люди задают в 3 часа ночи.

Стоит ли платить выкуп?

Почти никогда это не является правильным первым шагом. Мы ведем переговоры только в качестве крайней меры, пока оцениваются варианты восстановления, и только с разрешения юристов и санкционного комитета. Примерно в 94% наших случаев полное или частичное восстановление возможно без оплаты.

Как быстро вы можете подключиться к мосту?

Наше SLA предусматривает, что с момента первого звонка до подключения аналитика к совместной конференции с вашей командой пройдет менее 60 минут. Рекомендации по локализации угрозы обычно начинают поступать в течение первых 15 минут, в то время как параллельно проводится оценка масштаба инцидента.

Мы уже выключили все. Это плохо?

Это не идеально — в оперативной памяти хранятся ключи, внедренные процессы и следы оператора — но ситуацию можно исправить. Не запускайте ничего, пока мы не подключимся. У нас есть процедуры для «холодного» сортирования.

Вы работаете с нашей киберстраховой компанией?

Да. PWN-ALL организован так, чтобы подключаться к стандартным панелям IR. Мы предоставляем страховщику действия с отметками времени, контроль затрат и итоговый отчет в формате, который принимают большинство страховщиков.

Что делать, если данные были не только зашифрованы, но и похищены?

Мы отдельно оцениваем масштаб утечки: что было похищено, откуда и на какой срок. Затем мы координируем раскрытие информации, юридические вопросы и — при необходимости — мониторинг сайтов, с которых произошла утечка, а также коммуникацию с операторами.

Можете ли вы предотвратить следующую утечку?

Это четвертый этап. Устранение первопричин, гигиена идентификации, внедрение EDR/MFA и постоянный мониторинг — в сочетании с VulnScan и ConnGuard для защиты периметра.

24 / 7 / 365

не ждите
понедельника утром.

С каждым часом задержки резервные копии стираются, доказательства теряют силу, а злоумышленники уходят все глубже. PWN-ALL отвечает в рабочие дни, выходные и праздники — время не имеет значения, и для нас тоже.

ЗВОНИТЕ +971 58 594 6337 → Запрос на услуги
SIGNAL ДОСТУПЕН ПО ТОМУ ЖЕ НОМЕРУ
50% атак по-прежнему заканчиваются шифрованием. Не ждите, чтобы узнать, к какой половине вы относитесь.